CISA考试复习手册(第27版)电子书

版权页

CISA考试复习手册（第27版）

致谢

新增CISA工作实务

关于本手册

概述

本手册的编排

准备CISA考试

开始准备

使用《CISA考试复习手册》

手册特征

将《CISA考试复习手册》与其他ISACA资源结合使用

关于CISA复习考题及解答产品

第1章：信息系统的审计流程

概述

领域1考试内容大纲

学习目标/任务说明

深造学习参考资料

自我评估问题

自我评估问题解答

第A部分：规划

1.0 简介

1.1 信息系统审计标准、准则和道德规范

1.1.1 ISACA信息系统审计和鉴证标准

1.1.2 ISACA信息系统审计和鉴证准则

1.1.3 ISACA职业道德规范

1.1.4 ITAF

1.2 业务流程

1.2.1 信息系统内部审计职能

审计章程

1.2.2 信息系统审计职能的管理

信息系统审计资源的管理

1.2.3 审计规划

单项审计任务

1.2.4 法律法规对信息系统审计规划的影响

1.2.5 业务流程应用程序和控制

电子商务

电子数据交换

电子邮件

销售终端系统

电子银行

电子资金转账

自动提款机

电子金融

集成制造系统

交互式语音响应

采购会计系统

图像处理

工业控制系统

人工智能和专家系统

供应链管理

客户关系管理

1.2.6 使用其他审计师和专家的服务

1.3 控制类型

1.3.1 控制目标和控制措施

信息系统控制目标

1.3.2 控制环境评估

1.3.3 常规控制

1.3.4 信息系统特有的控制

1.4 基于风险的审计规划

1.4.1 审计风险和重要性

1.4.2 风险评估

1.4.3 信息系统审计风险评估技术

1.4.4 风险分析

1.5 审计类型和评估

第B部分：执行

1.6 审计项目管理

1.6.1 审计目标

1.6.2 审计阶段

1.6.3 审计程序

制定审计程序所需的基础技能

1.6.4 审计工作底稿

1.6.5 欺诈、违规和非法行为

1.7 抽样方法论

1.7.1 符合性与实质性测试

1.7.2 抽样

抽样风险

1.8 审计证据收集技巧

1.8.1 访问和观察员工以了解其职责履行情况

1.9 数据分析

1.9.1 计算机辅助审计技术

作为持续在线审计方法的CAAT

1.9.2 持续审计和监控

1.9.3 持续审计技术

1.10 报告和沟通技巧

1.10.1 沟通审计结果

1.10.2 审计报告目标

1.10.3 审计报告的结构与内容

1.10.4 审计记录

1.10.5 后续活动

1.10.6 信息系统审计报告的类型

1.11 质量保证和审计流程改进

1.11.1 控制自我评估

CSA的目标

CSA的优势

CSA的劣势

信息系统审计师在CSA中的角色

1.11.2 整合审计

案例研究

案例研究相关问题的答案

第2章：IT治理与管理

概述

领域2考试内容大纲

学习目标/任务说明

深造学习参考资料

自我评估问题

自我评估问题解答

第A部分：IT治理

2.0 简介

2.1 IT治理和IT战略

2.1.1 企业信息和技术治理

2.1.2 EGIT的良好实践

2.1.3 EGIT中的审计角色

2.1.4 信息安全治理

有效的信息安全治理

2.1.5 信息系统战略

2.1.6 战略规划

2.1.7 商业智能

数据治理

2.2 IT相关框架

2.3 IT标准、政策、程序和准则

2.3.1 标准

2.3.2 政策

信息安全政策

审查信息安全政策

2.3.3 程序

2.3.4 准则

2.4 组织结构

2.4.1 IT治理委员会

2.4.2 高级管理层和董事会的角色和职责

董事会

高级管理层

信息安全标准委员会

首席信息安全官

IT指导委员会

结果和职责矩阵

2.4.3 IT组织结构和职责

IT角色和职责

2.4.4 IT内部的职责分离

职责分离控制

2.4.5 审计IT治理结构与实施

审查文档

2.5 企业架构

2.6 企业风险管理

2.6.1 制订风险管理方案

2.6.2 风险管理流程

第1步：资产识别

第2步：资产面临的威胁和漏洞评估

第3步：影响评估

第4步：风险计算

第5步：风险评估和响应

2.6.3 风险分析方法

定性分析方法

半定量分析方法

定量分析方法

2.7 成熟度模型

2.7.1 能力成熟度模型集成

2.7.2 初始化、诊断、建立、行动和学习模型

2.8 影响组织的法律、法规和行业标准

2.8.1 治理、风险与合规性

2.8.2 法律、法规和行业标准对信息系统审计的影响

第B部分：IT管理层

2.9 IT资源管理

2.9.1 IT的价值

2.9.2 实施IT组合管理

IT组合管理与平衡计分卡

2.9.3 IT管理实务

2.9.4 人力资源管理

雇用

员工手册

晋升政策

培训

日程计划安排和时间报告

雇用期间

员工绩效评估

必休假期

离职政策

2.9.5 组织变更管理

2.9.6 财务管理实务

信息系统预算

软件开发

2.9.7 信息安全管理

2.10 IT服务提供商购置和管理

2.10.1 外包实务与战略

行业标准/基准检测

全球化实务与策略

2.10.2 外包和第三方审计报告

2.10.3 云治理

2.10.4 外包中的治理

2.10.5 容量和发展规划

2.10.6 第三方服务交付管理

2.10.7 第三方服务的监控和审查

2.10.8 管理第三方服务变更

服务改善和用户满意度

2.11 IT性能监控和报告

2.11.1 绩效优化

关键成功因素

方法和工具

2.11.2 工具和技术

2.12 IT质量保证和质量管理

2.12.1 质量保证

2.12.2 质量管理

案例研究

案例研究相关问题的答案

第3章：信息系统的购置、开发与实施

概述

领域3考试内容大纲

学习目标/任务说明

深造学习参考资料

自我评估问题

自我评估问题解答

第A部分：信息系统的购置与开发

3.0 简介

3.1 项目治理和管理

3.1.1 项目管理实务

3.1.2 项目管理结构

3.1.3 项目管理角色和职责

3.1.4 项目管理技术

3.1.5 组合/项目群管理

3.1.6 项目管理办公室

项目组合数据库

3.1.7 项目效益实现

3.1.8 项目启动

3.1.9 项目目标

3.1.10 项目规划

信息系统开发项目成本估算

软件规模估算

功能点分析

成本预算

软件成本估算

日程计划安排和确定时间范围

3.1.11 项目执行

3.1.12 项目控制和监控

范围变更管理

资源使用管理

3.1.13 项目完工

3.1.14 信息系统审计师在项目管理中的角色

3.2 业务案例和可行性分析

3.2.1 信息系统审计师在业务案例开发中的角色

3.3 系统开发方法

3.3.1 业务应用程序开发

3.3.2 SDLC模型

3.3.3 SDLC阶段

阶段1：可行性分析

阶段2：要求定义

阶段3A：软件选择与购置

阶段3B：设计

阶段4A：配置

阶段4B：开发

阶段5：最终测试与实施

阶段6：实施后审查

3.3.4 信息系统审计师在SDLC项目管理中的角色

3.3.5 软件开发方法

原型设计——进化式开发

快速应用开发

敏捷开发

面向对象的系统开发

基于组件的开发

软件再造

逆向工程

DevOps

业务流程再造和流程变更

3.3.6 系统开发工具和生产力辅助手段

计算机辅助软件工程

代码生成器

第四代语言

3.3.7 基础架构开发/购置实践

物理架构分析的各个项目阶段

规划基础设施的实施

3.3.8 硬件/软件购置

购置步骤

信息系统审计师在硬件购置中的角色

3.3.9 系统软件购置

整合资源管理系统

信息系统审计师在软件购置中的角色

3.4 控制识别和设计

3.4.1 输入/来源控制

输入授权

批量控制和核对

错误报告和处理

3.4.2 处理程序和控制

数据验证和编辑程序

处理控制

数据文件控制程序

3.4.3 输出控制

3.4.4 应用控制

信息系统审计师在审查应用控制中的角色

3.4.5 用户程序

3.4.6 决策支持系统

设计与开发

实施和使用

风险因素

实施战略

评估与评价

DSS共同特征

第B部分：信息系统实施

3.5 测试方法

3.5.1 测试分类

其他测试类型

3.5.2 软件测试

3.5.3 数据完整性测试

在线交易处理系统的数据完整性

3.5.4 应用程序系统测试

自动化应用程序测试

3.5.5 信息系统审计师在信息系统测试中的角色

3.6 配置和发布管理

3.7 系统迁移、基础设施部署和数据转换

3.7.1 数据迁移

完善迁移方案

回退（回滚）方案

3.7.2 转换（上线或切换）技术

并行转换

分阶段转换

一次性转换

3.7.3 系统实施

实施计划

3.7.4 系统变更程序和程序迁移流程

关键成功因素

最终用户培训

3.7.5 系统软件实施

3.7.6 认证/鉴定

3.8 实施后审查

3.8.1 信息系统审计师在实施后审查中的角色

案例研究

案例研究相关问题的答案

第4章：信息系统的运营和业务恢复能力

概述

领域4考试内容大纲

学习目标/任务说明

深造学习参考资料

自我评估问题

自我评估问题解答

第A部分：信息系统运营

4.0 简介

4.1 常用技术组件

4.1.1 计算机硬件组件和架构

处理组件

输入/输出组件

计算机类型

4.1.2 常用的企业后端设备

4.1.3 通用串行总线

与USB相关的风险

与USB相关的安全控制

4.1.4 射频识别

RFID的应用

RFID的相关风险

RFID的安全控制

4.1.5 硬件维护程序

硬件监控程序

4.1.6 硬件审查

4.2 IT资产管理

4.3 作业调度和生产流程自动化

4.3.1 作业调度软件

4.3.2 日程计划安排审查

4.4 系统接口

4.4.1 与系统接口相关的风险

4.4.2 系统接口中的安全问题

4.5 最终用户计算

4.6 数据治理

4.6.1 数据管理

数据质量

数据生命周期

4.7 系统性能管理

4.7.1 信息系统架构和软件

4.7.2 操作系统

软件控制功能或参数

软件完整性问题

活动日志和报告选项

操作系统审查

4.7.3 访问控制软件

4.7.4 数据通信软件

4.7.5 实用程序

4.7.6 软件许可问题

4.7.7 源代码管理

4.7.8 容量管理

4.8 问题和事故管理

4.8.1 数据管理

4.8.2 事故处理过程

4.8.3 异常情况的检测、记录、控制、解决和报告

4.8.4 技术支持/客户服务部门

4.8.5 网络管理工具

4.8.6 问题管理报告审查

4.9 变更、配置、发布和修补程序管理

4.9.1 修补程序管理

4.9.2 发布管理

4.9.3 信息系统运营

信息系统运营审查

4.10 IT服务水平管理

4.10.1 服务水平协议

4.10.2 服务水平监控

4.10.3 服务水平与企业架构

4.11 数据库管理

4.11.1 DBMS架构

详细DBMS元数据架构

数据字典/目录系统

4.11.2 数据库结构

4.11.3 数据库控制

4.11.4 数据库审查

第B部分：业务恢复能力

4.12 业务影响分析

4.12.1 运营和关键性分析分类

4.13 系统恢复能力

4.13.1 应用程序恢复能力和灾难恢复方法

4.13.2 电信网恢复能力和灾难恢复方法

4.14 数据备份、存储和恢复

4.14.1 数据存储恢复能力和灾难恢复方法

4.14.2 备份与恢复

异地库控制

异地设施的安全和控制

介质和文档备份

备份设备和介质的类型

定期备份程序

轮换频率

轮换的介质和文档类型

4.14.3 备份方案

完全备份

增量备份

差异备份

轮换方法

异地储存的记录保存

4.15 业务连续性计划

4.15.1 IT业务连续性计划

4.15.2 灾难和其他破坏性事件

流行病计划

应对形象、声誉或品牌的损害

出乎意料/无法预测的事件

4.15.3 业务连续性计划流程

4.15.4 业务连续性政策

4.15.5 业务连续性计划事故管理

4.15.6 制订业务连续性计划

4.15.7 计划制订过程中的其他问题

4.15.8 业务连续性计划的构成要素

关键决策人员

所需用品的备份

保险

4.15.9 计划测试

规范

测试执行

结果记录

结果分析

计划维护

业务连续性管理良好实践

4.15.10 业务连续性汇总

4.15.11 审计业务连续性

审查业务连续性计划

对以前测试结果的评估

对异地存储的评估

对非异地设施安全性的评估

与关键人员面谈

审查备用处理设备合同

审查承保范围

4.16 灾难恢复计划

4.16.1 恢复点目标和恢复时间目标

4.16.2 恢复策略

4.16.3 恢复备选方案

合同条款

采购备用硬件

4.16.4 灾难恢复计划的制订

IT DRP内容

IT DRP情景

恢复程序

组织和职责分配

4.16.5 灾难恢复测试方法

测试的类型

测试

测试结果

4.16.6 调用灾难恢复计划

案例研究

案例研究相关问题的答案

第5章：保护信息资产

概述

领域5考试内容大纲

学习目标/任务说明

深造学习参考资料

自我评估问题

自我评估问题解答

第A部分：信息资产安全和控制

5.0 简介

5.1 信息资产安全框架、标准和准则

5.1.1 审计信息安全管理框架

审查书面政策、程序和标准

正式的安全意识培养和培训

数据所有权

数据所有者

数据保管员

安全管理员

新IT用户

数据用户

书面记录的授权

解约员工的访问权限

安全基准

访问标准

5.2 隐私保护原则

5.2.1 隐私保护的审计注意事项

5.3 物理访问和环境控制

5.3.1 管理、技术和物理控制

5.3.2 控制监控与有效性

5.3.3 环境暴露风险和控制措施

设备问题和与环境有关的暴露风险

环境暴露风险的控制

5.3.4 物理访问暴露风险和控制措施

物理访问问题和暴露风险

物理访问控制

审计物理访问

5.4 身份和访问管理

5.4.1 系统访问权限

5.4.2 强制和自主存取控制

5.4.3 信息安全和外部相关方

识别与外部各方相关的风险

满足与客户相关的安全要求

人力资源安全和第三方

5.4.4 逻辑访问

逻辑访问暴露风险

熟悉企业的IT环境

逻辑访问路径

5.4.5 访问控制软件

5.4.6 身份识别和认证

5.4.7 登录ID和密码

密码的特点

登录ID和密码良好实践

令牌设备、一次性密码

5.4.8生物特征识别

基于生理特征的生物特征识别

基于行为的生物特征识别

生物特征识别管理

5.4.9 单点登录

5.4.10 授权问题

访问控制列表

逻辑访问安全管理

远程访问安全

5.4.11 监控系统访问时的审计记录

系统日志的访问权限

审计轨迹（日志）分析工具

成本考虑因素

5.4.12 逻辑访问控制的命名约定

5.4.13 联合身份管理

5.4.14 审计逻辑访问

熟悉IT环境

评估和记录访问路径

与系统人员面谈

审查来自访问控制软件的报告

审查应用程序系统操作手册

5.4.15 数据泄露

数据泄露防护

5.5 网络和终端安全

5.5.1 信息系统网络基础设施

5.5.2 企业网络架构

5.5.3 网络类型

5.5.4 网络服务

5.5.5 网络标准和协议

5.5.6 OSI架构

5.5.7 网络架构中OSI模型的应用

局域网

广域网

帧中继

TCP/IP及其与OSI参考模型的关系

网络管理和控制

网络性能指标

联网环境中的应用程序

按需计算

5.5.8 网络基础设施安全性

客户端/服务器安全

互联网安全控制

防火墙安全系统

数据包过滤防火墙

应用程序防火墙系统

状态检测防火墙

网络变更的开发和授权

5.5.9 影子IT

5.6 数据分类

5.7 数据加密和加密相关技术

5.7.1 加密系统的关键要素

5.7.2 对称密钥加密系统

5.7.3 公共（非对称）密钥加密系统

量子密码学

数字签名

数字信封

5.7.4 加密系统的应用

传输层安全性

IP安全协议（IPSec）

安全壳

安全多功能互联网邮件扩展协议（S/MIME）

5.8 公钥基础设施

5.9 基于Web的通信技术

5.9.1 IP语音

VoIP安全问题

5.9.2 专用分组交换机

PBX风险

PBX审计

5.9.3 电子邮件安全问题

5.9.4 对等计算

5.9.5 即时消息

5.9.6 社交媒体

5.9.7 云计算

5.10 虚拟化环境

5.10.1 关键风险领域

5.10.2 典型控制

5.11 移动、无线和物联网设备

5.11.1 移动计算

自带设备

移动设备上的互联网访问

5.11.2 无线网络

无线广域网

无线局域网

WEP和Wi-Fi网络安全存取协议（WPA/WPA2）

无线个人局域网

临时网络

公共全球互联网基础设施

无线安全威胁和风险降低

5.11.3 物联网

第B部分：安全事件管理

5.12 安全意识培训和计划

5.13 信息系统攻击方法和技术

5.13.1 舞弊风险因素

5.13.2 计算机犯罪问题和暴露风险

5.13.3 互联网威胁和安全

网络安全威胁

被动攻击

主动攻击

互联网攻击的起因

5.13.4 恶意软件

病毒和蠕虫控制

管理程序控制

技术控制

防恶意软件实施策略

定向攻击

5.14 安全测试工具和技术

5.14.1 通用安全控制的测试技术

终端卡和密钥

终端标识

生产资源控制

计算机访问违规情况的记录和报告

绕过安全和补偿性控制

5.14.2 网络渗透测试

5.14.3 威胁情报

5.15 安全监控工具和技术

5.15.1 入侵检测系统

特点

局限性

政策

5.15.2 入侵防御系统

蜜罐和蜜网

全面网络评估审查

5.15.3 安全信息和事件管理

5.16 事故响应管理

5.17 证据收集和取证

5.17.1 计算机取证

数据保护

数据采集

镜像

提取

数据获取/正规化

报告

5.17.2 证据和监管链的保护

案例研究

案例研究相关问题的答案

附录A：CISA考试常规信息

附录B：2019年CISA工作实务

词汇表

缩略语

反侵权盗版声明